linux安全系统的核心是用户账户，每个使用者使用一个账户名及与该账户关联的密码登入linux系统。使用者对系统资源的访问权限取决于其登录时所用的账户。

每个账户在创建时会被分配一个惟一的标识UID，用户权限便是根据UID来跟踪的。每个账户可以选择加入某些个群组以方便统一管理，每个群组也对应一个惟一标识GID。所有账户名、UID、GID等信息都保存于/etc/passwd文件中，所有群组信息都保存于/etc/group文件中，而账户密码则以加密方式保存于/etc/shadow中。

一、/etc/{passwd,shadow,group}解析

1、/etc/passwd

该文件存放着与所有用户相关的信息，每行包含7个字段，其格式为：

用户名:密码占位符:UID:基本组GID:注释信息:家目录:shell

例 wittgenstein:x:500:500:wittgenstein:/home/wittgenstein:/bin/bash

1)第二字段是以x表示的密码占位符,因/etc/passwd默认是对所有用户开放读权限的，为安全起见，实际密码是存放于只有管理员能访问的/etc/shadow文件中的。[root@localhost ~]# ls -l /etc/{passwd,shadow}

-rw-r--r-- 1 root root 1594 Oct  5 13:00 /etc/passwd

---------- 1 root root 1032 Oct  5 13:00 /etc/shadow

2)系统账户默认的shell为/sbin/nologin，这是一个无法登入主机的特殊shell，系统用户不需也不宜取得shell交互环境。其它用户默认为/bin/bash

2、/etc/shadow

该文件以加密的方式存放着各用户的密码，每行9个字段，其格式为：

用户名:加密的密码:最近一次修改密码的时间:密码最短使用期限:密码最长使用期限:密码过期警告区间:非活动期限:账号过期期限:保留字段

例 wittgenstein:$6$dHcMR77ZSJgbb...:16652:0:99999:7:::

1)密码是以加密方式存放的，还未创建密码的新用户该字段用!!表示

2)密码最短使用期限，意即在此期限内密码不可更改。如果是0，则表示可随时改动

3)密码最长使用期限，意即在此期限内密码必须更改，逾期密码会变成过期属性

4)密码过期警告区间，意即密码过期后的宽限时间

3、/etc/group

该文件存放着与群组相关的信息，每行4个字段，其格式为：

群组名:群组密码占位符:GID:群组支持的用户名

例 wittgenstein:x:500:davinci,tesla

1)群组密码实际存放于/etc/gshadow中，通常不需设定

2)最后一个字段实质上是以该群组为附加组的用户列表，以该群组为基本组的用户名不会自动被添加到此处。

将用户加入群组的方法：

a.在使用useradd或usermod命令时，指定-g或-G选项将其加入某个群组

b.直接编辑/etc/group文件，在目标群组行的末尾添加用户名，用户名之间以逗号相隔

二、用户管理

1、用户分类

linux用户由一个管理员账户(root)以及若干系统用户和普通用户组成。通常，三类用户被分配的UID是：root为0，系统用户为(1-499)，普通用户为500+。root用户的家目录为/root，普通用户的家目录默认为/home/username，系统用户默认不会主动建立家目录.

root用户拥有几乎一切权限，能够操作各种系统资源及控制其它用户的创建、删除、权限等。为安全起见，linux服务器上每个在后台运行的服务都对应一个系统账户，这样即使***者攻破某个服务，也无法访问整个系统。

2、useradd：创建用户

用法：useradd [-u UID] [-g 基本组GID/群组名] [-G 附加组GID/群组名]... username

其它常用选项：

-c：加上注释，注释会保存于/etc/passwd文件的注释段中

-d：指定家目录，若指定目录已存在，会有警告信息

-m：如果家目录不存在，就创建。这个要结合-d选项使用 -md

-s SHELL:指定shell，必须是/etc/shells中存在的shell，默认为/bin/bash

-m：自动建立用户家目录(默认)

-M：不给用户创建家目录

-e：指定用户的过期日期，格式为YYYY-MM-DD，此设定值会被写入shadow文件第8段

-f：指定账户过期几天后永久停权，设定值为0表示立即停权，为-1则表示关闭此功能，默认为-1。设定值会被写入shadow文件第7段

-r：创建系统用户

可指定多个附加组，以逗号相隔

使用示例：useradd -u 505 -g wittgenstein -G 502,davinci tesla

注意：在useradd中指定群组时不能指定当前并不存在的群组；每个用户必对应一个基本组(但一个群组可作为多个用户的基本组)，无论是随用户一起创建还是指定的，但用户可以选择是否加入或加入哪些附加组。

当我们不指定任何选项，以预设方式useradd username创建用户时：

1)该用户的UID为当前最大UID加1，并且会创建一个群组名与用户名相同的基本组,其GID默认与UID相同，但若该GID已存在，则会在当前最大GID基础上加1

2)在/etc/passwd里会新建一行与该用户相关的信息，包括用户名、UID、GID、shell等

3)在/etc/shadow里会新建一行与该用户密码相关的参数，此时还没有密码，需要使用passwd命令创建密码后才会生成

4)在/etc/group里会新建一行群组名同用户名的群组信息(若创建用户时指定其基本组为已存在的群组，则不会新建)

5)在/home下面会建立一个名为username且权限为700的家目录,即只有该用户自己与管理员能够进入该目录。[root@localhost ~]# useradd tesla

[root@localhost ~]# tail -2 /etc/passwd

wittgenstein:x:500:500:wittgenstein:/home/wittgenstein:/bin/bash

tesla:x:501:501::/home/tesla:/bin/bash

[root@localhost ~]# groupadd sience

[root@localhost ~]# groupadd -g 505 movie

[root@localhost ~]# tail -3 /etc/group

tesla:x:501:

sience:x:502:

movie:x:505:

[root@localhost ~]# useradd -c super davinci

[root@localhost ~]# tail -2 /etc/passwd

tesla:x:501:501::/home/tesla:/bin/bash

davinci:x:502:506:super:/home/davinci:/bin/bash

[root@localhost ~]# useradd -u 503 -G movie kubrick

[root@localhost ~]# id kubrick

uid=503(kubrick) gid=503(kubrick) groups=503(kubrick),505(movie)

3、passwd：创建或修改密码

用法：passwd [option]... [username]

常用选项：

-d：删除密码

-l：lock，锁住密码，只有root用户能执行

-u：unlock，解锁密码，只有root用户能执行

--stdin：以管道前的数据作为密码输入，这样就不用交互式进行。例如echo "password" | passwd --stdin username

-n: 密码最短使用天数

-x: 密码最长使用天数

-w: 密码到期前，收到警告信息的天数

-i: 密码过期后宽限的天数

注意：passwd命令后带有username参数表示处理其它用户密码，不带则是修改当前用户自己的密码。只有root用户能给其它用户创建密码并执行修改、删除、锁定密码等操作，普通用户只能修改自己的密码

4、usermod：修改用户信息，但不允许修改正在被使用的账户

用法：usermod [option]... username

常用选项：

-c：修改用户的注释信息，即/etc/passwd文件中第5段内容

-d：修改用户家目录

-u：修改UID

-g：修改基本组

-G：修改附加组

-s：修改shell

-L：锁定密码，使用户无法登录

-U：解锁密码

...

例 usermod -L 相当于 passwd -l

5、userdel：删除用户

用法：userdel [-r] [-f] username

常用选项：

-r：与该用户相关的所有资料也一并删除,包括家目录及/etc/{passwd,shadow,group}内的对应信息

-f：强制删除，即使该用户在线

例 userdel -r tesla

6、chage：修改密码的有效期，即/etc/shadow文件中的一些参数

用法：chage [option]... username

常用选项：

-m,--mindays：密码最短使用天数

-M,--maxdays：密码最长使用天数

-W,--warndays：密码到期前，收到警告信息的天数

-I,--inactive：密码过期后宽限的天数，过了这些天，禁止登录

-l：查看当前的设置

...

例 chage -m 7 -M 60 -W 10 -I 30 tesla

7、chfn：修改用户的finger信息

chfn [option]... [username]

不指定任何选项则进入交互模式，不指定用户名则修改当前用户自身信息

只有root能够设置所有用户finger信息，其它用户只能设置自身finger信息[nolan@localhost ~]$ chfn

Changing finger information for nolan.

Password:

Name []: nolan

Office []: 2046

Office Phone []: 2222

Home Phone []: 3333

Finger information changed.

[nolan@localhost ~]$ finger nolan

Login: nolan          Name: nolan

Directory: /home/nolan              Shell: /bin/bash

Office: 2046, x2222Home Phone: x3333

Never logged in.

No mail.

No Plan.

[nolan@localhost ~]$ chfn -h 8888 #单独修改home phone

三、用户信息的查看

1、id：显示用户的UID、GID、所属的组

用法：id [option]... [用户名]

-u：仅显示UID

-g：仅显示GID

-un：仅显示用户名

-gn：仅显示基本群组名

不带参数则显示当前用户的UID等信息[root@localhost ~]# id

uid=0(root) gid=0(root) groups=0(root)

[root@localhost ~]# id tesla

uid=502(tesla) gid=502(tesla) groups=502(tesla),501(davinci)

[root@localhost ~]# id -gn  tesla

tesla

2、who或w：显示当前登录系统的用户信息[root@localhost ~]# w

19:07:07 up  7:25,  4 users,  load average: 0.00, 0.00, 0.00

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT

root     tty1     -                Wed21    1:51m  0.04s  0.04s -bash

root     pts/0    192.168.30.1     17:17    0.00s  0.24s  0.00s w

tesla    pts/1    192.168.30.1     19:03    3:31   0.00s  0.00s -bash

[root@localhost ~]# who

root     tty1         2015-09-30 21:21

root     pts/0        2015-10-05 17:17 (192.168.30.1)

tesla    pts/1        2015-10-05 19:03 (192.168.30.1)

3、last：显示用户最近登录信息

用法：last [option]... [用户名/终端]

常用选项：

-n #或-#：指定显示#条记录

-d：将IP地址转换成主机名[root@localhost ~]# last -3

tesla    pts/1        192.168.30.1     Mon Oct  5 19:03   still logged in

tesla    pts/2        192.168.30.1     Mon Oct  5 17:17    gone - no logout

root     pts/0        192.168.30.1     Mon Oct  5 17:17   still logged in

wtmp begins Thu Aug  6 05:14:00 2015

[root@localhost ~]# last tesla

tesla    pts/1        192.168.30.1     Mon Oct  5 19:03   still logged in

tesla    pts/2        192.168.30.1     Mon Oct  5 17:17    gone - no logout

tesla    pts/2        192.168.30.1     Mon Oct  5 17:16 - 17:16  (00:00)

...

wtmp begins Thu Aug  6 05:14:00 2015

[root@localhost ~]# last -3 tty1

root     tty1                          Wed Sep 30 21:21   still logged in

root     tty1                          Mon Aug 10 13:49 - 21:19 (51+07:30)

root     tty1                          Mon Aug 10 13:42 - down   (00:04)

wtmp begins Thu Aug  6 05:14:00 2015

4、lastlog：显示系统中所有用户最近一次的登录信息

用法：lastlog  [option]...

常用选项：

-u username：显示指定用户的最近一次登录信息

-t 天数：显示指定天数以内的登录信息

-b 天数：显示指定天数以前的登录信息[root@localhost ~]# lastlog

Username         Port     From             Latest

root             pts/0    192.168.30.1     Mon Oct  5 17:17:05 +0800 2015

bin                                        **Never logged in**

daemon                                     **Never logged in**

...

tesla            pts/1    192.168.30.1     Mon Oct  5 19:03:36 +0800 2015

5、lastb：与last命令相似，它会查找/var/log/btmp 文件，列出所有登录系统失败的用户的信息

用法：lastb [-i] [-n #] [USER]

常用选项 ：

-n：指定显示的行数

-i：将主机名转换为IP地址[root@node2 ~]# lastb

tesla    ssh:notty    192.168.30.1     Fri Nov 27 03:10 - 03:10  (00:00)

tesla    ssh:notty    192.168.30.1     Fri Nov 27 03:06 - 03:06  (00:00)

tty1                          Tue Nov 10 01:04 - 01:04  (00:00)

root     tty1                          Tue Nov 10 01:03 - 01:03  (00:00)

root     ssh:notty    192.168.30.1     Mon Nov  9 21:05 - 21:05  (00:00)

root     tty1                          Tue Sep 22 09:04 - 09:04  (00:00)

btmp begins Tue Sep 22 09:04:08 2015

6、finger：查看用户信息，包括登录信息、真实名称、家目录等；该命令需额外安装

用法：finger [option]... [本地用户]... [远程用户@主机]

不指定任何选项和参数则显示本地用户登录信息

该命令可查看远程主机用户信息，前提是远程主机上已运行finger服务进程[root@localhost ~]# finger

Login     Name       Tty      Idle  Login Time   Office     Office Phone

root      root       tty1    14:54  Sep 30 21:21

root      root       pts/0    1:28  Oct  6 05:18 (192.168.30.1)

root      root       pts/2          Oct  6 07:51 (192.168.30.1)

tesla                pts/1    1:28  Oct  6 06:40 (192.168.30.1)

[root@localhost ~]# finger root

Login: root           Name: root

Directory: /root                    Shell: /bin/bash

On since Wed Sep 30 21:21 (CST) on tty1    14 hours 54 minutes idle

On since Tue Oct  6 05:18 (CST) on pts/0 from 192.168.30.1

1 hour 28 minutes idle

On since Tue Oct  6 07:51 (CST) on pts/2 from 192.168.30.1

No mail.

No Plan.

四、用户之间的切换(su和sudo)

1、su：切换至其它用户

用法：su [-] [-c] [-m] [username]

选项：

-c：执行完指定的指令后恢复原来身份，如su - -c "userdel pulak" root

-c选项应用场景之一：使用普通用户启动服务

vim /etc/rc.local

su - tesla -c "/bin/sh /home/tesla/bin/deploy.sh"

-m：变更身份时不变更环境变量

不指定目标用户时，则为切换到root用户

root切换到其它用户不需输入密码，其它用户切到root或其它用户之间切换需输入密码

su username与su - username的区别：

su命令后是否有-选项差别很大，su username是以非交互式登录的方式取得shell(no-login shell)，这种方式很多变量仍保留原值，如下，当在当前用户wittgenstein下使用mail命令查看邮件时，实际上查看的却是原来用户tesla的邮件。退出no-login shell使用exit命令。

而su - username属于交互式登录(login shell)，会完全取得新用户的环境。退出login shell使用logout命令[tesla@localhost ~]$ su wittgenstein

Password:

[wittgenstein@localhost tesla]$ env | grep 'tesla'

PATH=/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/tesla/bin

MAIL=/var/spool/mail/tesla

PWD=/home/tesla

[wittgenstein@localhost tesla]$ exit

exit

[tesla@localhost ~]$ su - wittgenstein

Password:

[wittgenstein@localhost ~]$ env | grep 'tesla'

[wittgenstein@localhost ~]$ env | grep 'wittgenstein'

USER=wittgenstein

MAIL=/var/spool/mail/wittgenstein

PATH=/usr/lib64/qt-3.3/bin:/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/wittgenstein/bin

PWD=/home/wittgenstein

HOME=/home/wittgenstein

LOGNAME=wittgenstein

[wittgenstein@localhost ~]$ logout

[tesla@localhost ~]$ su - -c "tail -1  /etc/shadow" root

Password:

pulak:!!:16713:0:99999:7:2:16714:

2、sudo：以其它用户身份来执行命令，预设为root

由于root权力太过强大，基于安全和防止误操作考虑，root密码宜尽量减少传播，使用者多以普通用户身份登录。但有时候又需要临时执行一些只有root才有权限执行的操作，这时候就可以用到sudo了

1)suso能做什么？

a.限定指定用户在指定主机上运行指定的管理命令，减少了用户因为错误或恶意执行命令损坏系统的可能性

b.详细记录用户基于sudo执行的命令的相关日志信息

c.“检查系统”：用户第一次执行sudo会要求输入自己的密码，用户会获得一个有固定存活时长的“入场券”(默认为5分钟)，逾期后若想再次执行sudo命令需要重新输入密码

2)sudo执行流程：

①当用户执行sudo时，系统根据/etc/sudoers文件检查其是否有相应权限

②若有相应权限，要求用户输入自己的密码以确认

③认证通过后用户便可执行指定的命令

3)某用户若想使用sudo执行其它用户才能执行的命令，则需要root用户先使用专用编辑命令visudo编辑/etc/sudoers文件，授予该用户所需要的权限。/etc/sudoers是有特定语法的，故需使用visudo命令编辑

■/etc/sudoer语法：

[%]WHO HOST=(WHOM) [NOPASSWD:] COMMAND

①WHO表示用户，前面若有%表示群组

②HOST表示登录者的来源主机

③WHOM表示可切换的身份

④NOPASSWD表示免除密码输入，可选项，一般用于信任的用户

⑤COMMAND表示可执行的命令

例 gentoo ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

■当要指定的参数太长时，可使用别名,格式为：

Alias_Type NAME = item1, item2...

其中Alias_Type可以是User_Alias(用户别名)、Runas_Alias(可切换成的身份别名)、Host_Alias(主机别名)、Cmnd_Alias(命令别名)；别名列表中可再嵌套别名

注意：别名本身必须使用全大写字母

用户别名：

可用项：USERNAME,%GROUPNAME,#UID,#GID,User_Alias

格式：User_Alias NAME1 = item1,item2 : NAME2 = item3,item4

主机别名：

可用项：hostname,ip,network_address,host_alias

格式：Host_Alias NAME = item1,item2

切换到的身份别名：

格式：Runas_Alias NAME = item1,item2

命令别名：

可用项：命令名,目录(目录下的所有命令),"sudoedit",Cmnd_Alias

格式：Cmnd_Alias NAME = item1,item2

/etc/sudoers编辑示例：

User_Alias GENIUS = davinci,tesla,wittgenstein,%director

Cmnd_Alias CHANGE = /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

GENIUS ALL=(root) CHANGE

注意：生产场景中，不建议使用echo命令修改/etc/sudoers文件，如果语法有误，又没及时发现，可能造成不良后果。如果一定要使用该命令，那一定要用 visudo -c 进行语法检查；使用visudo命令修改文件的话能自动检查语法，如果语法有误，文件无法保存。

4)sudo命令的用法

sudo [option]... [-u username]

常用选项：

-b 命令：在后台执行命令

-l：列出目前用户可执行与无法执行的命令

-e 文件路径：编辑文件而非执行命令

-k：清除“入场券”

-u 用户名：指定切换到哪个用户，如不指定，默认为root

-p 提示语：可以更改询问密码的提示语，其可用%u变量来替换为用户名，%h替换为主机名[root@localhost ~]# visudo

#includedir /etc/sudoers.d

User_Alias GENIUS = tesla,davinci,%director

Cmnd_Alias CHANGE = /usr/sbin/useradd,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root

GENIUS ALL=(ALL) CHANGE

[root@localhost ~]# su - tesla

[tesla@localhost ~]$ sudo useradd super

[sudo] password for tesla:

[tesla@localhost ~]$ tail -2 /etc/passwd

kubrick:x:504:504::/home/kubrick:/bin/bash

super:x:505:506::/home/super:/bin/bash

[tesla@localhost ~]$ sudo passwd super

Changing password for user super.

New password:

[tesla@localhost ~]$ sudo -l

...

User tesla may run the following commands on this host:

(ALL) /usr/sbin/useradd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

[tesla@localhost ~]$ sudo -k

[tesla@localhost ~]$ sudo userdel super

[sudo] password for tesla:

Sorry, user tesla is not allowed to execute '/usr/sbin/userdel super' as root on localhost.localdomain.

五、群组管理

1、groupadd：创建群组

用法：groupadd [-g GID] [-r] groupname

-r：创建系统组，若不指定-g GID，会自动指定一个小于500的GID

例groupadd science

2、groups：显示用户所在的组

用法：groups [username]

不带参数则直接显示当前用户所在的组[tesla@localhost ~]$ groups

tesla wittgenstein

[tesla@localhost ~]$ groups wittgenstein

wittgenstein : wittgenstein

结果中的第一个为用户的有效群组，默认为用户的基本组。如上，用户tesla属于组tesla、wittgenstein，其有效组为tesla。该用户创建的新文件的默认属组即为有效属组，若想更改用户的有效组，可使用newgrp命令

3、newgrp：切换用户的有效群组

用法：newgrp [groupname]

不指定参数则为切换为基本组[tesla@localhost ~]$ newgrp wittgenstein

[tesla@localhost ~]$ groups

wittgenstein tesla

[tesla@localhost ~]$ touch abc

[tesla@localhost ~]$ ls -l abc

-rw-r--r-- 1 tesla wittgenstein 0 Oct  5 15:03 abc

4、groupmod：修改群组

用法：groupmod [-g GID] [-n newname] groupname

常用选项：

-g：修改群组的GID

-n：修改群组名

5、groupdel：删除群组

用法：groupdel groupname

若目标群组为某用户的基本组，则不能被删除，除非先删除关联的用户；若只为其它用户的附加组，则可以删除

6、gpasswd：设置或修改组密码，设置群组管理员

群组通常不设密码，该命令主要用来设置群组管理员。因为默认只有root才能管理群组，但有时用户申请加入某群组时root太忙而无暇处理，这种情况下root就可以设定某个用户作为该群组的管理员来帮其管理

root能做的动作：

gpasswd  [-A user...] [-M user...] [-r] [-R] groupname

-A：指定群组的管理员

-M：将用户加入群组

-r：删除群组密码

-R：失群组密码失效

不指定任何选项则表示给群组设置密码

群组管理员能做的动作：

gpasswd [-a user...] [-d user...] groupname

-a：将用户加入群组

-d：将用户移出群组[root@localhost ~]# tail -2 /etc/group

director:x:505:kubrick,nolan

hitchcock:x:506:

[root@localhost ~]# gpasswd -A kubrick director

[root@localhost ~]# su - kubrick

[kubrick@localhost ~]$ gpasswd -a hitchcock director

Adding user hitchcock to group director

[kubrick@localhost ~]$ tail -2 /etc/group

director:x:505:kubrick,nolan,hitchcock

hitchcock:x:506: